Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa :10:17

Transkrypt

1 Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa :10:17

2 2 Chiny są obecnie jednym z niewielu krajów w tej części globu nie posiadających kompleksowego ustawodawstwa regulującego kwestie wykorzystania i ujawniania danych osobowych. Zamiast tego istnieje wiele przepisów rozproszonych w różnych ustawach, zasadach ogólnych prawa cywilnego, rozporządzeniach i przepisach prawa lokalnego, które powinny być brane pod uwagę podczas rozpoczynania i prowadzenia działalności w Chinach. Przepisy te regulują prawo do prywatności, w szczególności jaka firma może legalnie zbierać, przetwarzać i przechowywać dane osobowe. Chiny są obecnie jednym z niewielu krajów w tej części globu nie posiadających kompleksowego ustawodawstwa regulującego kwestie wykorzystania i ujawniania danych osobowych. Zamiast tego istnieje wiele przepisów rozproszonych w różnych ustawach, zasadach ogólnych prawa cywilnego, rozporządzeniach i przepisach prawa lokalnego, które powinny być brane pod uwagę podczas rozpoczynania i prowadzenia działalności w Chinach. Przepisy te regulują prawo do prywatności, w szczególności jaka firma może legalnie zbierać, przetwarzać i przechowywać dane osobowe. Do niedawna, podstawowe pojęcia, takie jak dane osobowe i zgoda podmiotu nie były zdefiniowane przez prawo chińskie. Mimo ostatniego postępu, nadal wiele przepisów, w szczególności imperatywnych pozostaje niejasnych i ma charakter ogólnikowy, a cała materia jest w najlepszym razie uregulowana fragmentarycznie. Przyczyną takiej sytuacji jest brak w Chinach jednej ustawy, która kompleksowo zajmowałaby się ochroną danych osobowych. Projekt ustawy o ochronie informacji osobistych (Personal Information Protection Law) został złożony w ramach procedury konsultacyjnej do Rady Państwa w 2008 roku. Jednakże, z braku inicjatywy wewnętrznej projekt został zawieszony w próżni legislacyjnej. Powodów takiego letargu jest kilka. Wydaje się jednak, że stworzenie kompleksowego systemu ochrony danych osobowych nie było po prostu w tym czasie zadaniem priorytetowym. W ostatnim czasie wprowadzono kilka zmian do prawa, które biorąc dotychczasowe chińskie doświadczenia stanowią duży postęp w kwestii ochrony danych osobowych. Pierwszym znaczącym krokiem w stronę ujednolicenia przepisów było wydanie przez Ministerstwo Przemysłu i Technologii Informacyjnych Przepisów Rozporządzenia odnośnie porządku rynku usług internetowych (Several Provisions on Regulation of the Order of Internet Information Service Market). Rozporządzenie nakłada szczególne wymagania na dostawców usług internetowych w celu ochrony danych osobowych swoich użytkowników. Dostawca usług ma obowiązek poinformowania i uzyskania zgody użytkowników na gromadzenie i wykorzystywanie danych. Wobec dostawców usług internetowych nieprzestrzegających przepisów Rozporządzenia wprowadzono katalog sankcji, obejmujących obok tradycyjnych grzywien, nowy typ ostrzeżeń z administracyjnych z obowiązkiem naprawienia szkody. Trzeba przyznać, że Rozporządzenie znacząco przyczynia się do poprawy systemu ochrony danych osobowych w Chinach. Kolejnym znaczącym progresem było uchwalenie 28 grudnia 2012 roku przez Stały Komitet Narodowego Kongresu Ludowego Decyzji w sprawie wzmocnienia ochrony informacji on-line (Decision on Strengthening Online Information Protection). Dokument ma na celu wzmocnienie ochrony prywatności osobistej i zwiększenie nadzoru nad publikacją informacji. Ochrona danych osobowych stała się priorytetem rządu chińskiego, zważywszy, ze Decyzja weszła w życie z dniem uchwalenia. Dokument posiadający taką samą moc prawną jak Ustawa, liczy 12 zwięzłych artykułów i określa podstawowe zasady dotyczące zbierania i przetwarzania prywatnych informacji elektronicznych. Decyzja nakłada obowiązki jakie operatorzy sieci usługowych oraz inne przedsiębiorstwa lub instytucje publiczne muszą spełnić przy zbieraniu informacji elektronicznych, które mogą doprowadzić do identyfikacji tożsamości jednostki lub obejmować jej prywatność. Chociaż Decyzja dotyczy wyłącznie dostawców usług sieciowych i innych przedsiębiorstw lub instytucji publicznych, tak naprawdę odnosi się do każdej firmy, która zajmuje się obsługą informacji elektronicznych, w tym informacji, które nie są przetwarzane przez Internet (np. informacje przechowywane lub przekazywane w formie elektronicznej, ale nie uzyskanie w Internecie, a poprzez przekształcenie informacji pierwotnie w formie papierowej). Gromadzenie i wykorzystanie takich informacji powinno być prowadzone zgodnie z zasadami legalności, zasadności i konieczności.

3 3 Adresaci decyzji, a wiec dostawcy usług, inne przedsiębiorstwa lub instytucje publiczne mają obowiązek jawnego poinformowania o celu, sposobie i zakresie zbierania i wykorzystania danych osobowych. Uzyskując zgodę, dostawcy są zobligowani do przechowywania zebranych informacji w formie poufnej i do przyjęcia środków bezpieczeństwa celem ochrony osobistych informacji elektronicznych przed ujawnieniem, uszkodzeniem lub utraceniem. W przypadku naruszenia lub możliwości takiego, należy natychmiast podjąć środki zaradcze. Na dostawcach usług internetowych spoczywa obowiązek wzmocnienia zarządzania informacjami publikowanymi przez użytkowników, a także współpracy z organami administracyjnymi poprzez zgłoszenia naruszeń. Dostawcy mają prawo wymagać od użytkowników okazania prawdziwej tożsamości przy zawieraniu umowy o świadczenie usług internetowych, obejmujących również telefonie komórkową. Decyzja sankcjonuje kradzież lub inny nielegalny sposób pozyskiwania informacji elektronicznych, a także ich ujawnianie i sprzedawanie na szkodę osób fizycznych. Na dostawców usług internetowych nałożono również zakaz wysyłania komercyjnych informacji elektronicznych do użytkowników telefonów stacjonarnych, komórkowych lub drogą elektroniczną bez ich zgody lub po wyraźnej odmowie. Decyzja gwarantuje użytkownikom prawo do żądania od dostawców usług sieciowych, usunięcia lub blokady rozprzestrzeniania wszelkich informacji w sieci, które naruszają ich prywatność. Nieprzestrzeganie przepisów jest sankcjonowane systemem ostrzeżeń, grzywien, konfiskatą nielegalnych zysków, cofnięciem licencji, zamknięciem strony internetowej. Naruszenia będą również rejestrowane w archiwach dłużników, które są dostępne publicznie. W przypadku naruszenia przepisów administracyjnych odnośnie bezpieczeństwa, mogą zostać nałożone również kary administracyjne. Ponadto, osoby prawne jak i fizyczne posiadają prawo do wszczęcia postepowania karnego w związku z kradzieżą danych osobowych, sprzedaży lub nielegalnego przekazywania danych osobowych do innych podmiotów. Dochodzenie swoich praw jest możliwe również w na drodze cywilnej. Trzeba zaznaczyć, ze Decyzja została zredagowana w ogólnikowy sposób, brak w niej szczegółowych przepisów wykonawczych. W związku z tym, rząd chiński podjął kolejny krok w celu stworzenia kompleksowego systemu ochrony danych osobowych, wydając dokument Technologia Bezpieczeństwa Informacji (Information Security Technology). Wytyczne te weszły w życie w 1 lutego 2013 r. i dotyczą systemu ochrony informacji osobowych dla usług publicznych i komercyjnych. W systemie prawa chińskiego wytyczne są jedynie zaleceniami i nie mają charakteru wiążącego, w praktyce mogą być instrumentem tzw. egzekwowania pośredniego dla sądow i organów administracyjnych w sprawach związanych z ochroną danych osobowych. Ponadto oczekuje się, że wytyczne te będą służyć jako ważny punkt odniesienia w dalszym procesie tworzenia prawa, kiedy Chiny ostatecznie uchwalą swoje kompleksowe prawodawstwo odnośnie danych prywatnych. Wytyczne stanowią pierwszą istotną próbę zdefiniowania pojęcia prywatności na ogólne potrzeby. Stosowanie dokumentu jest nadal ograniczone, gdyż dotyczy on jedynie danych osobowych w sieciach komputerowych, i ma zastosowanie wyłącznie do sektora prywatnego. Instytucje rządowe i inne jednostki publiczne zostały bowiem z treści wytycznych wyłączone. Wytyczne definiują pojęcie dane osobowe, jako dane podmiotu (osoby fizycznej lub prawnej), które mogą być przetwarzane przez system informacyjny i które, pojedynczo lub w połączeniu z innymi informacjami, mogą zidentyfikować ten podmiot. Jednostka, która jest w posiadaniu lub zarządza danymi ( tzw. Administrator ) lub odbiorcy muszą powiadomić podmiot w jakim celu, zakresie, za pomocą jakich środków bezpieczeństwa dopuszczalne jest przechowywanie i rozpowszechnianie danych osobowych. Zgoda podmiotu jest konieczna w tym przypadku. Administrator ma również obowiązek zapewnić kompletność i dokładność danych osobowych i umożliwić podmiotowi dostęp do swoich danych osobowych i możliwość ich korekty, każdorazowo na żądanie. Mimo znacznego rozwoju systemu ochrony danych w Chinach przed firmami krajowymi i międzynarodowymi,

4 4 nadal stoją poważne wyzwania w zakresie obsługi danych osobowych w sposób zgodny z oczekiwaniami rządu chińskiego. Dowodem na to są potencjalne konsekwencje w skutek nie właściwego przetwarzania danych, obejmujące odpowiedzialność karną, cywilnoprawnej, sankcje administracyjnych, jak również skutki uznania skarg na portalach społecznościowych/ blogach. Trzeba przyznać, że polityka zagranicznych koncernów jest nastawiona coraz bardziej na badanie chińskiego rynku, potencjalnych konsumentów. Jednak obecny system prawny jest w gruncie rzeczy skomplikowany i nieprzejrzysty i może spowodować poważne szkody dla firm oraz reputacji marki. Dlatego też, chiński rząd od ponad roku prowadzi intensywne prace legislacyjne celem stworzenia kompleksowego systemu prawnego ochrony danych. Większa transparentność systemu, a przede wszystkim uporządkowanie szeregu przepisów ustawodawczych i wykonawczych to główne założenia reformy.

5 5